Bro 监控 HTTP流量

最新推荐文章于 2020-10-10 00:24:33 发布
最新推荐文章于 2020-10-10 00:24:33 发布
阅读量5.3k 收藏 3
点赞数
分类专栏: bro入侵检测工具教程 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mhpmii/article/details/52936378
版权

Bro 监控 HTTP流量

@(教程)[Bro]

Bro 可以从网络上记录所有的HTTP流量到http.log文件,这个文件可以用于分析或审计
首先我们介绍http.log文件的结构
然后介绍如何通过bro分析和监视http流量

HTTP log 的结构
http.log 概括了所有bro监视到的http请求和回应,这是http.log的头几列

ts uid orig_h orig_p resp_h resp_p
13116234.8 HSH4uV8KVJq 192.168.1.100 52303 192.150.187.43 80

每一个单行都是以时间戳开始 ,UID, 连接信息4元组(源地址和端口,目的地址和端口)

剩下的信息详细描述了发生的活动

method host uri referrer user_agent
GET bro.org - <…>Chrome/12.0.742.122<…>

网络管理员和安全工程师可以通过这个日志文件观察网络活动,分析异常情况
要想详细了解bro是如何分析Http流量的,可以参考scripts/base/protocols/http/main.bro

侦测代理服务器
代理服务器往往为没有访问权限的设备提供访问服务器的功能,,一些未认证的代理服务器应此被认为是存在威胁的,

代理服务器的流量应该是什么样的
通常情况下,客户端和代理服务器的通信应该是这样的:

Request : GET http://bro.org/ HTTP/1.1
Reply: HTTP/1.0 200 OK

这和客户端服务器直接通讯的不同点在于,直接通讯的请求不应该有”http”字串,所以可以通过这个判断这是个代理服务器
我们可以编写一个脚本处理http_reply 检测 GET http:// 请求

event http_reply(c:connection,version:string,code: count, reson:string)
{
    if(/^[hH][tT][pP]:/ in c$heep$uri && c$http$status_cod
最低0.47元/天 解锁文章
mhpmii
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
bro-http2:ZeekBro插件,提供http2解码器分析器
05-18
Zeek HTTP2分析器插件 该插件为 3.0.x和3.1.x提供了HTTP2( )解码器/分析器。 如果您对于Zeek(Bro)的较早实例(即2.6.x或更旧的版本)需要此功能,请参阅此插件的最新0.4.x版本。 公开的事件试图模仿本机HTTP分析器公开的事件 安装 要求 Nghttp2 需要Nghttp2 1.11.0或更高版本。 该插件使用解压缩库,并且该版本之前不支持所用API的某些部分。 nghttp2 Library - https://github.com/nghttp2/nghttp2 在CentOS 7上: # sudo yum install libnghttp2-devel 在Ubuntu 16.04上: Ubuntu的apt储存库上的libnghttp-dev版本太旧(编写本文时为1.7.1版),因此您必须从手动安装该库。 布罗特利 Brotli是
Go-GoReplay是一个开源网络监控工具可以将实时HTTP流量捕获并重放到测试环境
08-13
GoReplay是一个开源工具,用于捕获实时HTTP流量并将其重放到测试环境中,以便使用真实数据持续测试您的系统。 它可用于增加对代码部署,配置更改和基础结构更改的信心。
检查http流量
小码农的博客
04-21 825
常用的主要工具: Wireshark 和 Charles Proxy 。主要作用。我们不需要修改代码对其进行调试操作。
在 Ubuntu 16.04 上安装 Bro 网络分析器
petpig0312的博客
08-02 512
Bro 是一个开源的网络分析框架,侧重于网络安全监控。这是一项长达 15 年的研究成果,被各大学、研究实验室、超级计算机中心和许多开放科学界广泛使用。它主要由伯克利国际计算机科学研究所和伊利诺伊大学厄巴纳-香槟分校的国家超级计算机应用中心开发。 Bro 的功能包括: Bro 的脚本语言支持针对站点定制监控策略针对高性能网络分析器支持许多协议,可以在应用层面实现高级语义分析它保留了其所监
bro 流量分析
lepton126的专栏
01-18 748
浅析bro网络流量分析 https://www.secpulse.com/archives/73882.html 浅析bro网络流量分析 https://blog.csdn.net/qq_27446553/article/details/81351184 linux信息收集/应急响应/常见后门检测脚本 https://github.com/al0ne/Lin...
基于HTTP流量和DNS隧道技术进行检测
12-07
根据专家经验,总结出了恶意HTTP流量中各种不一致、字段异常、回传系统信息等情况以及部分木门和后门对应的DNS传输的特征。PPT多达70多页,内容详尽,值得学习。
bro-3.10.zip
02-26
- **丰富的分析框架:** 提供了全面的协议解析器,覆盖了多种网络协议,包括TCP/IP、HTTP、SMTP等,以及对加密流量的解密能力。 - **强大日志系统:** Bro能够生成结构化的、详细的日志文件,便于后续的数据分析和...
bro-2.6.2.tar.gz
05-01
它主要用于对链路上所有深层次的可疑行为流量进行一个安全监控,其支持在安全域之外进行大范围的流量分析。更通俗一点,Bro是一款集成了TCPDUMP(抓包),WIRESHARK(流量分析),SNORT(×××检测),SYSLOG(日志...
bro-2.6.1.tar.gz
09-10
Bro(现在被称为Zeek)是一种网络分析框架,用于网络安全监控和日志记录。它是一个开源项目,由Brooke Fischer在1995年创建,并在后续年份不断更新和发展。Bro/Zeek的核心功能是分析网络流量,检测潜在的安全威胁,...
bro-2.6.4.tar.gz
02-26
Bro,全称Bro Network Security Monitor,是一种开源的网络监控系统,其核心在于基于会话的安全分析。Bro 2.6.4是该系统的一个版本,它提供了一种强大的、可扩展的框架,用于检测和响应各种网络活动中的潜在威胁。在...
bro软件包:Bro软件包。 可能不稳定。 我在这里放过
02-07
Bro软件包是一个专门用于网络监控和分析的开源项目,它主要设计用于网络安全领域。Bro提供了一个强大的框架,能够对网络流量进行深入分析,包括识别潜在的威胁、异常行为以及网络性能问题。由于标题中提到“可能不...
流量监控Bro特性、历史及架构
sj_djw的博客
08-06 648
引言 概述 Bro是一个被动的开源网络流量分析器。它主要是一个安全监视器,深入检查链路上的流量以发现可疑活动的迹象。然而,更普遍的讲,Bro支持一个范围广泛的流量分析任务,不仅在安全领域,还包括性能度量和协助排查故障。 站点部署Bro最直接的好处是可以得到一组用高级术语记录网络活动的日志。这些日志不仅包括链路上检测到的每个链接的全面记录,还包括应用层副本,比如,所有HTTP会话...
bro 使用_使用Node js和admin bro创建一个管理面板
weixin_26630103的博客
09-15 391
bro 使用What’s great about Node.js is the huge economy of useful packages. For example, AdminBro is a package for creating admin interfaces that can be plugged into your application. Node.js的优点是有用软件包的巨大...
bro 使用_使用admin bro进行节点js身份验证和授权
weixin_26735419的博客
10-10 477
bro 使用In this blog, I am explaining how to create a basic role-based authentication with Admin Bro. In my previous blog, I have explained what is Admin Bro and how to set up. Do visit it to know how t...
使用bro收集主机的基本信息
Kagamigawa Noelle
12-20 938
目录 收集主机基本信息的日志: 获取ip地址和mac地址的序偶:  获取主机操作系统信息: 获取主机名信息: 获取用户名信息: 调研要求:根据zeek中的事件处理尝试获取主机的用户名、主机名、mac地址、操作系统、IP地址等 zeek就是bro了。这里的用户名还不太清楚是什么意思(可能从telnet着手)。 主机名很好理解,在ubuntu系统中,可以用hostname指令查看主机名...
bro简介
Kagamigawa Noelle
10-11 2069
开源的被动流量分析器 支持在安全域之外进行大范围的流量分析(性能评估和错误定位) 部署bro之后,站点可以获得一个非常详细的记录网络行为的日志文件(所有线路上可见的每个连接,应用层传输如http会话以及请求的url,关键头,mime类型,dns请求和回应,ssl证书,smtp会话的关键内容等)。 Bro还有强大的内建函数来完成分析和检测任务,比如从http会话中抽取文件,检测恶意软件,报告脆...
(五) HTTP/2的流量控制
一步一跳
08-28 4522
HTTP/2利用流来实现多路复用,这引入了对TCP连接的使用争夺,会造成流被阻塞。流量控制方案确保在同一连接上的多个流之间不会造成破坏性的干扰。流量控制会用于各个独立的流,也会用于整个连接。 HTTP/2通过使用WINDOW_UPDATE帧来进行流量控制。 流量控制的原则 HTTP/2“流”的流量控制的目标是:在不改变协议的情况下允许使用多种流量控制算法。HTTP/2的流量控制具有以下特
使用tcpdump监控http流量
08-22 714
使用tcpdump监控http流量,具体内容包括:http request,http response,http headers以及http message body. 监控本机http流量 tcpdump -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>...
怎么获取bro接口的ip地址
最新发布
06-10
Bro是一种网络安全监控系统,它可以对网络流量进行实时分析和检测。要获取Bro接口的IP地址,可以使用以下步骤: 1. 打开终端并登录到Bro服务器。 2. 运行以下命令获取服务器所有网络接口的信息: ``` ifconfig -a ``` 3. 找到名为“en0”、“eth0”、“wlan0”或类似名称的接口,这是Bro服务器所使用的网络接口。 4. 在该接口的信息中查找“inet”字段,该字段后面的IP地址就是Bro服务器所使用的IP地址。 例如,如果Bro服务器使用的网络接口名称为“eth0”,则可以使用以下命令获取其IP地址: ``` ifconfig eth0 | grep "inet " | awk '{print $2}' ``` 该命令将输出Bro服务器所使用的IP地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值